WordPressに2段階認証を導入する理由
WordPressは世界的に利用されているCMSのため、
ログイン画面(wp-login.php)は常に攻撃対象になりやすい傾向があります。
パスワードだけの認証では、
- パスワード漏えい
- 総当たり攻撃
- 辞書攻撃
といったリスクを完全には防げません。
そこで有効なのが、Google Authenticatorを使った2段階認証(2FA)です。
本記事では、
Google Authenticator アプリ + Wordfence プラグインを使い、
WordPressログイン時に2段階認証を導入する具体的な手順を解説します。
前提条件(本記事の構成)
以下の環境を前提としています。全て無料で利用可能です。
- WordPress 管理者権限を持っている
- Wordfence Security プラグインがインストール済
🔗 Wordfence Security プラグイン ページへ - スマートフォンに Google Authenticator アプリをインストール済
- Android / iOS どちらでも可
※ Wordfence以外の2FAプラグインは使用しません。
手順① Google Authenticator アプリを準備
スマートフォンに Google Authenticator をインストールします。
アプリは無料で利用でき、
6桁のワンタイムパスワードを30秒ごとに生成します。
この時点では、まだアプリ側に登録は行いません。
手順② WordPress管理画面でWordfenceの2FA設定画面を開く
2段階認証を設定する管理者権限のユーザーでWordPress管理画面にログインし、以下を開きます。
ユーザー → 2FA (2要素認証)
管理者ユーザーを選択すると、
QRコードと6桁コード入力欄が表示されます。
手順③ Google Authenticatorと連携する
Google Authenticatorアプリを起動し、以下を行います。
- 「+」をタップ
- QRコードをスキャン
- WordPress用のアカウントが追加される
- 6桁コードが表示されることを確認
これでアプリとWordPressの連携は完了です。
手順④ 6桁コードを入力して2段階認証を有効化
WordPress側の設定画面で、
- Google Authenticatorに表示されている
「 現在の6桁コード 」を入力 - 「有効化」ボタンをクリック
これで Wordfenceの2段階認証が有効 になります。
手順⑤ ログイン時の動作を確認
一度ログアウトし、再度ログインを行います。
ログイン手順は以下の通りになります。
- ユーザー名
- パスワード
- Google Authenticatorの6桁コード
正しいコードを入力すると、管理画面にログインできます。
管理者アカウント運用の注意点
2段階認証導入後は、以下を意識すると安全性が高まります。
- 管理者アカウントは最小人数にする
- 初期ユーザー名(admin)は管理者にしない
- Google Authenticatorは端末変更時に引き継ぎできるようにしておく
- FTPやサーバー管理画面にログインできる状態を維持する
万一ログインできなくなった場合でも、
Wordfenceプラグインを一時的に無効化することで復旧(通常のログイン方法でログイン)が可能です。
まとめ
WordfenceとGoogle Authenticatorを使えば、
WordPressのログインセキュリティを大幅に強化できます。
- 追加費用なし
- 設定は一度だけ
- 管理画面の安全性が大きく向上
管理者アカウントを守るためにも、
2段階認証の導入は早めに行うことをおすすめします。